サイバー攻撃

WordPressの不正改ざんリスクとは?手口や被害調査の方法を解説

WordPressは世界的に利用者の多いWebサイトの作成ツールです。しかし、不正改ざんされ「情報漏えい」や「マルウェア感染」などの被害が発生するケースが多発しています。自社が運営するWebサイトからこのような被害が発生すれば、社会的な信用の失墜など多大な損害を被ることになります。

被害を最小限に抑えるためには、被害が発生した経路や被害の範囲を正確に把握し再発防止に努めることが大切です。今回は、WordPressの不正改ざんリスクやその手口と被害調査の方法などを解説します。WordPressが改ざんされた疑いがある場合は、ぜひ参考にしてください。

メールで相談する

WordPressの不正改ざんリスクとは

WordPressとは、Webサイトの作成や管理、運用するのためのCMS(Webサイト管理システム)の1種です。Web関連の技術があまりない人でも、簡単にサイトの管理や記事の投稿が無料でできるため、世界中で多くのユーザーに使用されています。

しかし、WordPressは不正改ざんのリスクが高いソフトウェアです。その理由の1つとして圧倒的なシェア率の高さが挙げられます。シェア率の高いWordPressのようなソフトウェアは、攻撃対象が多くセキュリティホールを狙われやすいです。いざセキュリティホールを突かれて不正改ざんされても、被害を確認するにはコンテンツを1つ1つ手動で確かめる必要があり、被害に遭っても気づかない可能性があります。

また、WordPressのソースコード(ソフトウェアの設計図)は誰でも改良できるよう無償で公開されています。そのため、ある程度スキルをもつ者であれば脆弱性を悪用して攻撃することが可能であり、不正改ざんリスクが高い要因の1つです。

WordPressを不正改ざんする手口

WordPressを不正改ざんする手口は以下のとおりです。

ユーザーID/パスワード認証を突破した不正ログイン

不正ログインとは、不正に取得した他人のIDやパスワードを使用して不正にアクセスする行為です。主に、詐欺行為や個人情報の取得を目的としています。ユーザーID/パスワード認証を突破した不正ログインをする方法は主に2つです。

  • ブルートフォースアタック:総当たりで文字列の組み合わせを試すという攻撃手法
  • パスワードリスト攻撃:頻繁に使用されるパスワードが記載されたリストを用いた手法

キーボードを左から押しただけの「qwerty」や「123456」などの簡単なパスワードを設定していると、すぐに突破され不正ログインされてしまいます。複雑なパスワードに設定したり、セキュリティ対策を万全にしていたりすれば、不正ログインを防ぐことが可能です。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティングとは、脆弱性のあるWebシステムを利用したサイバー攻撃です。メールやSNSで不正なリンクを送信し、それをクリックするよう誘導して個人情報を盗み取ったりマルウェアに感染させたりします。

代表的なクロスサイトスクリプティングの攻撃の流れは以下のとおりです。

クロスサイトスクリプティングの攻撃の流れ
  1. 脆弱性のあるユーザーから掲示板・SNS等にスクリプト付リンクを仕掛ける
  2. ユーザーが誤ってリンクをクリックすると悪意のあるスクリプトが実行される
  3. スクリプトによって、ユーザーが本来のサイトとは違う偽サイトに飛ばされる
  4. 偽サイトにて個人情報を入力させたりデバイスにマルウェアを送りこんだりする
  5. ユーザーに様々な被害が発生する

クロスサイトスクリプティングは攻撃に気づくのが難しく、被害が拡大しやすい攻撃です。実行されると多大な損害が発生することが予想できるため、自分が行った操作と異なる処理がされているなど少しでも違和感を感じた場合は、注意して使用しましょう。

SQLインジェクション

SQLインジェクションとは、データベースを操作するときに用いられるSQLを利用したサイバー攻撃です。インジェクションとは「注入」という意味で、入力ホームなどに記入する文字列に不正な操作を行うSQL文を注入することで、WordPress内の改ざんを行うことができます。

通常、一般ユーザーはデータベースを操作する権限をもっていませんが、問い合わせフォームなどにSQLインジェクションへの脆弱性があると、一般ユーザーでもデータベースを操作することが可能になります。

WordPressのセキュリティ対策が不十分である場合、悪意あるSQL文を不正なものと判断できずに実行してしまい、データベース内の情報の閲覧やデータ抽出・データ作成などの被害が発生する恐れがあります。

ゼロデイ攻撃

ゼロディ攻撃とは、OSやソフトウェアなどの脆弱性が発見されてからその修復が完了するまでの期間に攻撃をすることで、セキュリティ上の欠陥が修正される前の状態を「0日(ゼロデイ)」としたことが由来です。

ゼロデイ攻撃では、攻撃者が最初に脆弱性に気づき、それを利用した不正プログラムを開発・拡散します。拡散までの一連の動きは、企業が脆弱性に気づく前や対策が完了する前に行われるため、多くのコンピュータが無防備な状態で攻撃されます。その後、機密情報を漏えいしたり金銭を要求されたりする恐れがあります。

WordPressの不正改ざんによる主な被害

WordPressの不正改ざんによる主な被害は以下のとおりです。

個人情報やクレジットカード情報が流出する

Webサーバーに個人情報やクレジットカード情報が存在する場合、それらが漏えいする可能性があります。個人情報を取得する主な方法として「偽サイトを用意してユーザーに個人情報を入力させる」「ユーザーのデバイスをマルウェアに感染させる」などが挙げられます。

個人情報が漏えいすると、個人情報保護委員会など関係各所に詳細を報告しなければなりません。これに違反すると罰金刑が科される可能性があるため注意しましょう。

サイトが改ざんされユーザーを悪質なサイトへ誘導される

WordPressの改ざんにより、ユーザーが悪質なサイトへ誘導されるケースがあります。実際、2022年には北九州市が運営している「北九州市買い物応援ウェブサイト」が何者かにより改ざんされ児童ポルノリンクが掲載されたという事例がありました。

また、フィッシングサイトへのリンクが掲載されれば、そこから個人情報の入力を促され情報が漏えいしたり、マルウェアに感染したりする被害が発生する可能性があります。

第三者へのサイバー攻撃の拠点にされる

不正改ざんにより第三者へのサイバー攻撃の拠点にされることがあります。実際、女性向けファッション事業を手掛ける企業のwebサイトがサイバー攻撃の足掛かりにされる事例がありました。

2017年、WordPressの脆弱性を突かれたことが原因で、当該企業は不正アクセスを受けました。これにより、メール送信機能を悪用され、スパム攻撃の拠点にされてしまったのです。WordPressの不正改ざんにより、このような被害が発生するリスクがあるため注意しましょう。

Googleの検索結果から除外される

Googleは、危険なwebサイトのブラックリストを作成して随時更新を行っています。

WordPressを不正改ざんされることで、危険なWebサイトとして判断される可能性があります。危険なWebサイトとして判断されてしまうと、Googleのブラックリストとして扱われ、検索結果から除外されてしまいます。

Webサイトのハッキングから完全に復旧できればブラックリストから除外されることもあり得ますが、すぐ元の検索順位に戻すことは難しいでしょう。

企業イメージの失墜による被害を受ける

拡散スピードの早いSNSやネットニュースによってWordPressの不正改ざんや情報漏えいの事実が明るみになれば、企業イメージの失墜による被害を受けるリスクがあります。また、セキュリティ対策の怠慢が確認された場合、多額の賠償金を支払うことになる可能性もあります。企業の社会的信用の喪失は大きな損失を生みかねないため、事前のセキュリティ対策が非常に重要です。

\累計2.4万件の相談実績 24時間365日無料相談OK!/

企業の情報漏えいインシデントは、対応が義務化されています

「ランサムウェア・マルウェアに感染した」、「ハッキングによる情報漏えいが疑われる」 このような場合、被害範囲や不正行為の経路を調べることが大切です。

2022年4月施行の「改正個人情報保護法」では、財産的被害が生じるおそれのある個人データの漏えい等が発覚した場合、法人に以下の義務が課せられました。

  1. 個人情報保護委員会への報告:当該企業は、個人情報保護委員会に漏えいの報告を行う。
  2. 当該個人に対する通知:当該企業は、個人情報漏えいの被害を受けた個人に通知を行う。

個人情報保護法改正2022したがって情報漏えいが発生した場合、被害の規模や影響、原因、対応策を正確に把握し、適切な措置を講じることが重要です。措置命令違反があった場合、最高1億円の罰金が科せられる恐れもあることから、情報漏えいが発生時、どの情報が、どのように漏えいしたのかを調査し、今後の対応や予防策を考えておく必要があります。

改正個人情報保護法に準拠した対応および被害事例はこちら

ただし、被害の調査を行う場合、専門技術が必要です。これは自社のみで対応するのが困難であるため、フォレンジック調査の専門家と提携して調査することをおすすめします。「フォレンジック調査」とは、コンピュータなどのデジタルデバイスや、ネットワークログを体系的に調査し、インシデントの全容解明を行う調査手法です。

フォレンジック調査の詳細は、下記の記事で詳しく解説しています。

私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデント対応経験を持つ専門の担当者とエンジニアが対応しており、安心して調査を任せることができます。また、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。

\相談から最短30分でWeb打ち合わせを開催/

WordPressが改ざんされた場合の対処法

WordPressが改ざんされた場合の対処法は以下のとおりです。

アクセスログを保存する

アクセスログとは、Webサーバーへの行動記録のことです。ユーザーがサイトにアクセスするごとに、日付や利用者、開いたファイルやURLなど様々な情報が記録されます。WordPressが改ざんされた場合、すぐにサービスを停止し、管理者画面のデータベースへのアクセスログを保存・印字を行うことで証拠を保全することができます。

通信を遮断する

webサイトを改ざんされた場合は、速やかに通信を遮断し、外部からのアクセスを停止しましょう。その際、マルウェア感染のリスクも高いため、作業は別の端末で行うことをおすすめします。

バックアップからサイトを復元する

改ざんされる前のデータが保存されている場合は、バックアップからサイトを復元しましょう。ただし、最新のデータでバックアップできていない場合、バックアップできていない分のデータが消失してしまう点を留意しておきましょう。

WordPress本体のファイルだけ上書きする

本体ファイルを公式サイトからダウンロード→解凍し、FTPクライアントソフトで正常なファイルに上書きすることで、管理画面にログインできる可能性があります。FTPクライアントソフトとは、FTP(ファイル転送時に必要となる規約や手順)を利用してファイルの送受信を行うソフトウェアです。ただし、改ざんされたファイルやマルウェアがなくなったわけではないため、それらの除去を同時に行う必要があります。

専門の調査会社に相談する

WordPressを改ざんされた場合、攻撃者は証拠を残さないようデータを意図的に削除するケースが多く、個人での調査には限界があります。その際、特殊な技術を用いて証拠となるデータを復旧・抽出できる「フォレンジック調査」が有効です。フォレンジック調査には以下のようなメリットがあります。

  • 専門的な知識や技術、最新ツールを使った調査ができる
  • サイバー攻撃被害の早急な究明が行える
  • マルウェア感染拡大の有無、窃取された情報を推定できる
  • セキュリティホールの特定と再発防止策に役立つ

フォレンジック調査会社では、最新の機器による制度の高い調査を行うことが可能です。WordPressが改ざんされた場合は、専門のフォレンジック調査会社に相談しましょう。

WordPressが改ざんされた場合は専門業者に相談する

DDFハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。

フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。

\法人様・個人様問わず対応 24時間365日無料相談OK!/

多くのお客様にご利用いただいております

累計ご相談件数32,377件以上の豊富な実績

 

対応機種

対応機種

調査会社への相談方法

インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。

取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。

インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。

\累計2.4万件の相談実績 まずはご相談ください/

調査の料金・目安について

調査の料金・目安について

まずは無料の概算見積もりを。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。

【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)

❶無料で迅速初動対応

お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。

❷いつでも相談できる

365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。

❸お電話一本で駆け付け可能

緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

 

 

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
必 須
必 須
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある